En février dernier, l’équipe de campagne d’Emmanuel Macron se plaignait d’être la cible des hackers russes. Un rapport d’analyse de la société Trend Micro semble maintenant leur donner raison. L’éditeur japonais a détecté plusieurs noms de domaine qui appartenaient en apparence au mouvement d’En Marche, mais qui étaient contrôlés en réalité par le groupe de pirates Pawn Storm (alias APT28, Sednit ou Fancy Bear). Spécialisé dans le cyberespionnage et le cybersabotage, il serait l’émanation du renseignement militaire russe (GRU) et à l’origine de plusieurs attaques de grande ampleur, comme le piratage du parti démocrate américain ou le sabotage de TV5 Monde.
Concrètement, les chercheurs en sécurité de Trend Micro ont récemment trouvé quatre noms de domaine mis en place par ce groupe entre le 15 mars et le 17 avril, dont deux font clairement référence au mouvement d’Emmanuel Macron : onedrive-en-marche.fr, mail-en-marche.fr, portal-office.fr et accounts-office.fr. Selon Libération, ces sites ont tenté de tromper les internautes en reproduisant les pages d’accueil de services en ligne Microsoft. « Ce type d’URL peut servir dans le cadre de campagnes de phishing, soit pour inciter une personne à laisser ses identifiants, soit pour directement infecter son ordinateur. La cible de cette structure d’attaque était probablement le cœur de l’équipe de campagne d’En Marche », nous explique Loïc Guézo, directeur de la stratégie pour l’Europe du sud chez Trend Micro. Typiquement, la personne visée reçoit un faux email officiel l’incitant à cliquer sur un lien, avant de se retrouver redirigée sur l’un de ces sites piégés.
Une structure d’attaque connue
Si l’éditeur pointe du doigt Pawn Storm, c’est en raison du schéma de mise en œuvre technique. Ainsi, les noms de domaine ont été enregistrés auprès d’un bureau d’enregistrement allemand en utilisant une adresse email qui a déjà été utilisée dans des opérations antérieures. Les sites étaient hébergés par une société britannique (M247) qui est également déjà apparue dans des campagnes passées de ce groupe. Les analystes ont également reconnu la plage d’adresses IP comme faisant partie de son arsenal. Bref, c’est un faisceau d’indices qui permet d’identifier l’origine de cette structure avec une forte probabilité. Certes, un autre groupe aurait pu imiter ce genre de tactique, mais selon Trend Micro ce n’est pas vraisemblable. « Il est facile de copier un code, mais il est plus difficile d’imiter une structure d’attaque », estime Loïc Guézo.
En tous les cas, cette infrastructure a bien été utilisée pour essayer de piéger des membres d’En Marche. Interrogé par 20minutes, Mounir Mahjoubi, directeur de la campagne numérique du candidat, explique avoir repéré ces faux sites dans des vagues de phishing qui ont ciblé l’équipe de campagne. Heureusement, il n’y a eu aucun dégât : aucun identifiant n’a été volé, aucun document n’a été exfiltré. On peut s’en réjouir, mais qu’à moitié. Car cette histoire montre que les pirates de Poutine ne se contentent pas de relayer de l’intox sur les réseaux sociaux, comme l’avait affirmé la société FireEye début avril. Ils tentent aussi de pénétrer dans les réseaux informatiques des partis politiques français et de compromettre leurs infrastructures informatiques. Un scénario similaire à ce qui s’est passé l’année dernière aux Etats-Unis est donc parfaitement possible en France.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.